欢迎光临
我们一直在努力
"

独特的技术手段,远程控制你的手机

 我们最近在分析恶意样本时候发现了两类独特的技术手段,一种利用轻量级web服务器jetty来窃取用户隐私,另一种使用Androidpn推送指令来远程控制。

一、更独特隐蔽的隐私窃取—web服务器

这类木马利用轻量级web服务器jetty将目标手机变成服务器后,通过url请求获取手机上的任意资源,造成用户隐私泄露。

工作方式:

在目标手机上设置jetty服务器后,通过浏览器等请求特定的URL,可获取目标手机上的资源,包括隐私信息等。

架构如下:

800pt0ampek1ampkp1ampsce0-12-1

获取用户隐私信息对应的url路径:

800pt0ampek1ampkp1ampsce0-12-12

该木马通过将目标手机变成服务器后,通过url请求获取手机上的任意资源,造成用户隐私泄露,这种方式更为独特而隐蔽。

二、另类指令获取—Androidpn推送

AVL移动团队近期发现了一种使用Androidpn推送指令的远控间谍软件,该程序伪装成系统应用、诱导用户激活设备管理器,根据推送获取的指令来进行上传通话记录、通话录音、环境录音、联系人、短信箱、地理位置等隐私信息,并能执行修改短信箱内容、私发短信、拦截短信、屏蔽来电等操作,窃取用户隐私、影响手机的正常体验。

android push notification原理(源自Androidpn界面截图):

800pt0ampek2ampkp2ampsce0-22-22

向用户手机客户端push消息(源自Androidpn界面截图):

800pt0ampek4ampkp4ampsce0-44-44

登录xmpp服务器,获取消息指令(源自Androidpn界面截图):

800pt0ampek3ampkp3ampsce0-33-33

远控模块流程:

800pt0ampek7ampkp7ampsce0-77-77

800pt0ampek5ampkp5ampsce0-55-55

此外,该应用能接收指令,私自修改替换短信箱中的内容。。

800pt0ampek6ampkp6ampsce0-66-66

该样本使用少见的Androidpn推送方式来获取指令,加上多种窃取隐私信息,尤其修改短信箱内容功能更为罕见。

三、小结

随着时间的推移,恶意代码也会使用到各种新的技术和手段,逐步强大而隐蔽,更与安全软件对抗起来。手机设备性能的提升,使得种种PC上的服务变得可能,Android系统功能的增多也给恶意软件带来更多的途径。

[via Gandalf,post by 南山 saya]

转载请注明: 转载自Legend‘s BLog

本文链接地址: 独特的技术手段,远程控制你的手机



未经允许不得转载:Legend‘s BLog » 独特的技术手段,远程控制你的手机

分享到:更多 ()

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

无觅相关文章插件,快速提升流量